- Ⅰ. はじめに
- Ⅱ. DLLインジェクション、コードインジェクション
- Ⅲ. Hook
- Ⅳ. Debug
- Ⅴ. アンチリバースエンジニアリング
- Ⅵ. GUI ツール
- Ⅶ. ドライバ署名関係, PatchGuard 無効化
- Ⅷ. その他
- Ⅸ. Unpacker / Devirtualizer
- Ⅸ. まとめ
Ⅰ. はじめに
タイトルの通り「リバースエンジニアリング系情報まとめ」です。
Ⅱ. DLLインジェクション、コードインジェクション
Ⅲ. Hook
メモ | リンク |
C++, Windows, Kernel, syscall hook ETWをabuseして一部のsyscallをhookできる。 |
everdox/InfinityHook https://kagasu.hatenablog.com/entry/2019/12/29/155520 |
C++, Windows, Kernel, syscall hook InfinityHook Windows 10 Build 19041 |
fIappy/infhook19041 |
C++, Windows, Kernel, syscall hook InfinityHook Windows 10 Build 19041 |
MakeInfinityHookGreatAgain |
C++, Windows, Kernel, syscall hook InfinityHook Windows 7 ~ Windows 11 |
FiYHer/InfinityHookPro |
C++, Windows, Kernel, syscall hook InfinityHook Windows 7 ~ Windows 11 |
ThomasonZhao/InfinityHookProMax |
C++, Windows, Kernel, syscall hook PGを回避して(無効化ではない)syscall後に任意のコードを割り込ませる。syscall前の割り込みは不可 |
can1357/ByePg |
C++, Windows, Kernel, syscall hook KasperskyのHVを利用してsyscallをhookする(SSDT, SSSDT) |
iPower/KasperskyHook |
C, Windows | HoShiMin/HookLib |
C++, Android, iOS, Linux, macOS | asLody/whale |
C++, Android | Chainfire/inject-hook-cflumen |
C, Windows, Kernel | DarthTon/HyperBone |
C++, Windows | microsoft/Detours |
C, Android | ele7enxxh/Android-Inline-Hook |
C#, .NET | pardeike/Harmony |
C++, Windows | stevemk14ebr/PolyHook |
C, Windows | TsudaKageyu/minhook |
C, Windows, Kernel | tinysec/iathook |
C, C#, .NET | EasyHook/Easyhook |
C#, .NET, Unity | easy66/MonoHooker |
C++, Linux, Android | ChickenHook/ChickenHook |
TypeScript, Android, syscall hook | AeonLucid/frida-syscall-interceptor |
C++, Windows, DirectX | Rebzzel/kiero |
C++ | vovkos/protolesshooks |
C++, Linux, Android, macOS | ChickenHook/ChickenHook |
C, Linux, syscall hook | pmem/syscall_intercept |
C++, Multiplatform, Multiple architecture, | jmpews/Dobby |
Linux | LD_PRELOADを利用する |
C, Android | iqiyi/xHook |
C, Windows | mrexodia/AppInitHook |
C++, Windows | vmcall/dxgkrnl_hook |
C++, Windows | zeroperil/HookDump |
C++, Windows, Kernel | MiroKaku/DetoursX |
Ⅳ. Debug
メモ | リンク |
C++, Windows, Kernel, Intel VT-x | changeofpace/VivienneVMM |
Ⅴ. アンチリバースエンジニアリング
Ⅵ. GUI ツール
メモ | リンク |
C++ | hzqst/Syscall-Monitor |
C++ | AxtMueller/Windows-Kernel-Explorer |
C# | dnSpyEx/dnSpy |
C# | HoLLy-HaCKeR/dnSpy.Extension.HoLLy |
C++ | zer0condition/ReverseKit |
Ⅶ. ドライバ署名関係, PatchGuard 無効化
Ⅷ. その他
メモ | リンク |
C++, Windows, prcess clone | _xeroxz_pclone |
C, Windows, Access without a real handle | btbd/access |
C++, Windows | Mattiwatti/PPLKiller |
C++, Windows | RedCursorSecurityConsulting/PPLKiller |
C++, Windows | itm4n/PPLcontrol |
C++, Windows | DarthTon/Blackbone |
C#, Unity | sinai-dev/UnityExplorer |
C++, Windows, Kernel | HyperDbg/HyperDbg |
C++, Windows | SamuelTulach/negativespoofer |
Python | Ciphey/Ciphey |
C++, Windows | vxunderground/WinAPI-Tricks |
改変されたUPXをアンパックできる | JPCERTCC/upx-mod |
.NET デコンパイラ一覧 | https://blog.dotnetsafer.com/best-dotnet-decompilers/ |
C, Windows, Packer | ORCx41/AtomPePacker |
Flutter | Impact-I/reFlutter |
Windows symbol diff | ergrelet/windiff |
Windows脆弱なドライバの一覧 | https://www.loldrivers.io/ |
期限切れの証明書で署名可能にする | namazso/MagicSigner |
Themida CRC Bypass | SohWeeKiat/Themida-3.x.x-CRC-Bypass |
Ⅸ. Unpacker / Devirtualizer
メモ | リンク |
Themida/WinLicense 2.x and 3.x. | ergrelet/unlicense |
VMProtect | samrussell/vmprotect_binja_plugin |
Themida | Hendi48/Magicmida |
Oreans Code devirtualizer | st4ckh0und/AntiOreans-CodeDevirtualizer |
VMProtect devirtualizer | archercreat/titan |
VMProtect Import fixer | archercreat/vmpfix |